Kartey426/Aegis
GitHub: Kartey426/Aegis
一个基于确定性启发式与选择性 LLM 调用的供应商无关安全信号分诊流水线,旨在高效降噪并降低告警处理成本。
Stars: 0 | Forks: 0
# Aegis - 威胁分诊 Pipeline
Aegis 是一个与供应商无关的安全信号摄入和分诊系统,具有
确定性的首轮处理和针对高风险告警的单一 LLM 决策步骤。
## 当前状态
目前已实现并可运行:
- 存储层:Postgres + Redis + ORM 模型
- 扫描层:hashing、entropy、PE/静态提取、进程归属
- Connectors:file_scan + threat_feed
- 启发式 + 元数据评分器
- 富化:MalwareBazaar、VirusTotal、URLhaus、WHOIS/RDAP
- 带有缓存 + 持久化的 Pipeline 处理器
- Scheduler 任务(增量扫描 + 每日威胁源同步)
- API 路由:/alerts 和 /cases
- Agent 路径:确定性关联上下文 + 决策 LLM 调用
- 安全控制:脱敏 + 基于 Redis 的 LLM 速率限制
仍待完成:
- gateway/circuit_breaker.py
- gateway/router.py(模型提供商路由 / 本地回退)
## 当前决策流程
```
StandardAlert
-> Redis cache
-> Heuristics
-> Metadata scoring
-> Enrichment (MB -> VT, URLhaus, WHOIS)
-> Correlation context (Postgres history)
-> Decision agent (single LLM call for escalated cases)
-> Persist alert + case
```
只有高于升级阈值的告警才会调用 LLM。其他所有告警都通过确定性逻辑来解决。
## 文档
- 运行指南:HOWTORUN.md
- 架构(当前):ARCHITECTURE.md
- 详细实现说明:IMPLEMENTATION.md
- 计划工作:future_work.md
标签:C2, PostgreSQL, Python, Redis, 告警分诊, 威胁情报, 安全运营, 开发者工具, 扫描框架, 搜索引擎查询, 无后门, 逆向工具